ステムの 
セツトアップ 


購入後、初めて本製品をセットアップする時の手順を説明します。二重化構成を構築する場合は、4章を 
参照してください。 


セットアップの概要 (—56 ページ） . セットアップを始めるにあたっての準備について 

説明しています。 

セットアップ (—57 ページ） . 本装置を使用できるまでのセットアップ手順につ 

いて説明しています。 

再セツトアップ (—87 ページ） . システムを再セツトアップする方法について説明 

しています。 
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セットアップの概要 

セットアップには、本体以外のマシンや接続のためのケーブルなどが必要となります。また、それぞれの 
マシンについてもソフトウェアのインストールなどの準備が必要となります。 

• 本体 

購入時のハードディスク上には Fi「eWall-1(Linux 版)のモジュール、および基本設定ツー 
ルがインス!-ール済みです。こちらを使用して、コンフィグレーションをしてくださ 
い。 

• 管理クライアント 

システムの基本設定をするために使用する管理コンピュータとして使用します。 

また、ポリシー作成用のクライアント PC には、本装置に同梱されている 「Check Point 
NGX CD-ROM 」からモジュールや GUI クライアントをインストールしてください。イン 
ストール/初期導入設定用ディスクの作成用としても使用します。 

詳しくはこの後の説明を参照してください。 

セットアップには、以下の3通りの方法があります。 

• セキュアシェル （SSH) を使用したセットアップ 
• Web Management Console(WbMC) を使用したセットアップ 
• コンソールを使用したセットアップ 

本書では、以降セットアップについて 「 ssh を使用したセットアップ」を例にとって記述しま 
す。 

ただし、 SSH のクライアントソフトはお客様でご用意ください。 


56 



セツトアツフ 


システムをセットアップする方法の中で、セキュアシェル (SSH) を使用した手順を説明します。 


設定手順の流れ 


設定手順の流れを以下に示します。 


インストール/初期導入設定用ディスクによる設定 


1. インストール/初期導入設定用ディスクの作成 

2. インストール/初期導入設定用ディスクによるセットアップ 


〇 


2. システムのセットアップ 


1. 基本設定ツールによる設定 

2. FireWaN -1 のコンフィグレーション 


〇 


セキュリティポリシーのセットアップ 


〇 


4. バックアップ 


〇 


オンラインアップデート 


〇 


ESMPRO / ServerAgent のセツトアツ：? 


〇 


7. システム情報のバックアップ 


〇 



システムのセットアップ 
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1. インストール/初期導入設定用ディスクによる設定 


インストール/初期導入設定用ディスクでの設定方法について説明します。 

インストール/初期導入設定用ディスクの作成 

「インストール/初期導入設定用ディスク」は Firewall を設定するために最低限必要となる設定 
情報を保存したセットアップ用のフロッピーディスクです。 

添付の「インストール/初期導入設定用ディスク」にあらかじめ入っている「初期導入設定ツー 
ル」を使用して作成します。「初期導入設定ツール」は 、 Windows 98/ Me / NT 4.0/2000 /XP 
が動作するコンピュータで動作します。 


初期導入設定ツールの実行と操作の流れ 

次の順序でインストール/初期導入設定用ディスクを作成します。それぞれの設定項目につ 
いては、この後に説明しています。 

1. Windows マシンのフロッピーディスクドライプに添付の「インストール/初期導入設定用ディス 
ク」をセットする。 

2 . フ□ッピーディスクドライブ内の「初期導入設定ツール ( StartupConf . exe )」 を実行する。 

「初期導入設定ツール」が起動します。 

3. 開始画面が表示されたら[次へ]をクリック 
し、設定の入力を開始する。 

プログラムは、ウィザード形式となって 
おり、各ページで設定に必要事項を入力 
して進んでいきます。 

必須情報が入力されていない場合や入力 
情報に誤りがある場合は警告メッセージ 
が表示されますので、項目を正しく入力 
し直してください。入力事項の詳細につ 
いては、後述の説明を参照してくださ 
い0 

すべての項目の入力が完了すると、フ 
□ッピーディスクに設定情報を書き込ん 
で終了します。 

4. インストール/初期導入設定用ディスクをフロッピーディスクドライブがら取り出し、「インス 
卜ール/初期導入設定用ディスクによるセツトアップ」に進む。 




インストール/初期導入設定用ディスクは再セツトアップの際にも使用します。大切に保管して 
ください。 
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入力項目の設定 

以下のネットワーク構成を例にして「初期導入設定ツール」で入力する項目について説明します。 


254 



サーバタイプ(設定必須） 

Firewall の種別について設定をします。 


ファイル©ヘルプ砂 


麟路飄，レ 


r 管理 サーパ 


項目を入力した 60 欠へ ( ti ) > J を押じ C ください 


一く 駿@ 匚次へ⑽〉 


システムのセットアップ 
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ネットワークインタフェースの設定 

Firewall のネットワークの設定をします。 


ーホスト名（設定必須） 

ホスト名はドメイン名まで含めた 
FQDN の形式で入力してくださ 
い0 

一 LAN ポート1 ( 設定必須） 

IP アドレス 

LAN ポート1に割り当てる IP アドレ 
スを入力します。 

サブネットマスク 

LAN ポート1に割り当てた IP アドレスに対するサブネットマスクを入力します。 
- LAN ポート2 

IP アドレス 

LAN ポート2に割り当てる IP アドレスを入力します。 

サブネットマスク 

LAN ポート2に割り当てた IP アドレスに対するサブネットマスクを入力します。 



ルーテ ィングの設定 

ネットワークのルーティングの設定を 
します。 

ーデフォルトゲートウェイ（設定必 

須） 

デフォルトゲートウェイの IP アド 
レスを指定します。 

一静的ルーティング 

宛先ネットワークアドレスとネッ 
トマスクおよびゲートウェイの組 
み合わせを指定します。 




















• メールアドレスの設定 


メールアドレスとリモートメンテナンス機能の利用に関する設定をします。 


一 管理者のメールアドレス（設定必 
須） 

管理者のメールアドレスを指定し 
ます。 

— Web Management Console 
( WbMC ) の設定 

WbMC を使用する場合に、チェッ 
クをつけます。 

-セキュアシェル （ SSH ) の設定 

SSH を使用する場合に、チェック 
をつけます。 


ファイル (£) ヘルブ⑻ 


メールアドレスの設定、およひリモートメンテナンス機能の利用に関する設定を行 I ぼす。 


管理者のメールアドレス |xy2@nec.co.jp 

[7 Web Management Console ( WbMC 〉 を使用する 
F7 


項目を入力したら「)欠へ⑽ > J を押してください 


<戻る(珍」 [ 次へ⑽> |キャンセル 


WbMC に関する設定 

WbMC に関する設定をします。 

一 WbMC ポート番号 

使用するポート番号を入力しま 
す。既定値は、18000です。必要 
に応じて変更してください。 

一接続元 IP アドレス 

接続元の管理クライアントの IP ア 
ドレスを入力します。 

一管理者アカウント名 

上記で設定した接続元 IP アドレス 
の管理クライアントから WbMC に 
接続する際の管理者名 （ 15文字以 
内）を入力します。 

-パスワード 


ファイル®ヘルブ⑻ 




る」にチ: t ックを付けた埸合は値 


WbMC ボート番号 
接続元 IP アドレス 
苷理者アカウント名 
パスワ'-ド 
バスワードの再入力 


項目を入力した欠へ ( N ) > J を押してください 


118000 

「92 . |168 . [T ~ . |99 ■ 

|fws-admin 


<戻る迫）」 [ 次へ(沙> I キャンセル」 


上記で設定した管理者名に対する、パスワードを設定します。 


システムのセットアップ 
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• SSH に関する設定 

SSH に関する設定をします。 

— SSH ポート番号 

使用するポート番号を入力しま 
す。既定値は、18022です。必要 
に応じて変更してください。 

一接続元 IP アドレス 

接続元の管理クライアントの IP ア 
ドレスを入力します。 

一管理者アカウント名 

上記で設定した接続元 IP アドレス 
の管理クライアントから SSH で接 
続する管理者名 （ 15文字以内）を入力します。 

パスワード 

上記で設定した管理者名に対する、パスワードを設定します。 

インストール/初期導入設定用ディスクによるセットアップ 

初期導入設定ツールで作成した「インストール/初期導入設定用ディスク」を使用して、セッ 
トアップし、管理クライアントを本体へ接続します。 


セットアップ手順 

以下の手順でセットアップします。 

正しくセットアップできないときは、次ページを参照してください。 

1.SSH 通信用ソフトウェアがインストールされている管理クライアントを用意する。 

2 . 本体の電源が OFF の状態で、管理クライアントと本体背面にある LAN ポートインタフェース(内部 
ネットワーク用）をクロスケープルで接続するか、本体が接続されている内部ネットワークのハプ 
などに管理クライアントの LAN ケープルを接続する。 

3. 前述の「インストール/初期導入設定用ディスクの作成」で作成したインストール/初期導入設定用 
ディスクを本体のフロッピーディスクドライプにセットする。 

4. 本体の POWER スイッチを押す。 

POWER ランプが点灯します。しばらくすると、インストール/初期導入設定用ディスクから設定 
情報を読み取り、自動的にセットアップを進めます。2〜3分ほどでセットアップが完了します。 

5. 管理者クライアントからインストール/初期導入設定用ディスクで設定した SSH に関する設定の 
「管理者アカウント名」と 「Password」 を使用し、□グインする。 


ファイル®ヘルブ妙 

.組 -1 | x | 

(Secure ShellSSHJ に関する設: 

辭のページで 「Secure Shell © 

r 

SH ) を使用する JI こチェックを付けた場合13値を入力してばさ 

SSH ボート番号 


接続元 IP アドレス 

1192 . |168 . |1 . 「99 

音理者アカウント名 

Jfws-admin 

バスワード 

| 本本本本本本本 


バスワードの再入力 




項目を入力したへ ㈣ > J を押してください 


<戻る ( g ) 丨 [ ;欠へ妙> I キャンせル I 
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6 . □グイン後、 root ユーザーに変更する。 

Password には、同梱の 「root パスワード」に書かれているパスワードを入力します。 

これでインストール/初期導入設定用ディスクによるセットアップ、管理クライアントの接 
続は完了です。以降の説明では、管理クライアントからの操作でシステムのセットアップを 
行います。 

I n -〇 セットアップの完了が確認できたらセットしたインストール/初期導入設定用ディスクをフ 
□ッピーディスクドライブから取り出して大切に保管してください。再セツトアップの時に 
使用することができます。 


セットアップに失敗した場合 

システムのセットアップに失敗した場合は、自動的に電源が OFF ( POWER ランプ消灯)にな 
り、ユーザーに異常終了したことを知らせます。正常にセットアップを完了できなかった場 
合は、インストール/初期導入設定用ディスクに書き出されるログファイル 「 logging . txt 」 の 
内容を確認し、再度初期導入設定ツールを使用してインストール/初期導入設定用ディスク 
を作成してください。 

〈主なログの出力例〉 

• 「 Error ： cannot open: /mnt/floppy/fwsi 门 it.ini 」 

—インストール/初期導入設定用ディスク中の設定に誤りがある場合に表示されます。 
•「 Error : bad user name ( WbMC )」 

-インストール/初期導入設定用ディスク中の WbMC の管理者名の指定に誤りがある場 
合に表示されます。 

•「 Error ： bad user name ( SSH)J 

ー インストール/初期導入設定用ディスク中の SSH の管理者名の指定に誤りがある場合 
に表示されます。 

• 「 Error ： port number of WbMC and SSH is the same .」 

— WbMC ポート番号と SSH ポート番号に同一の値が設定された場合に表示されます。 
WbMC ポート番号と SSH ポート番号には違ラ値を設定する必要があります。 

•「 Error ： fwsetup railure 」 

— Firewall へ初期導入設定ができない場合に表示されます。インストール/初期導入設定 
用ディスクの設定に誤りがあります。 

インストール/初期導入設定用ディスクの内容が誤っていた場合、インストール/初期導入設 
定用ディスクの設定内容を修正して再度本体をセットアップすることができます。 

以下の操作を行った場合には、インストール/初期導入設定用ディスクによる設定の機能は 
□いになります。基本設定ツール ( fwsetup ) もしくは WbMC からのみ設定変更が可能となり 
ますので注意してください。 

• 基本設定ツール ( fwsetup ) を実行し 、 「replace startup - scripts ?」 の問に対して < y > を入 

力し/しもも。 


システムのセットアップ 


• WbMC の基本設定画面から[設定]を押した場合。 
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システムのセツトアツ 


「1.インス I ル/初期導入設定用ディスクによる設定」で管理クライアントから Firewall 本 
体に接続するための最低限必要なセットアップが完了しました。ここからは、ネットワーク 
インタフエースの設定 ( nicsetup ) と基本設定ツール ( fwsetup ) を使用して、さらに詳細な 
セットアップを行います。 

ゾ Firewall 本体のホスト名、 IP アドレス、ルーティングなどのインストール/初期導入設定用 
|チェック |ディスクで設定した項目（下記の設定内容の項目における★印の項目）については、設定値 
を確認してください。 


fwsetup のセットアップを実行し、再起動した6、次に cpconfig コマンド使ってコンフィグ 
レーシヨンを行います。 

ネットワークインタフェースと CPU 増設の設定 

ネットワークインタフェースや CPU の増設を行った場合は、基本設定ツールによる設定の前 
に以下の作業を行います。 

• ネットワークインタフェース （ NIC ) の増設を行った場合 

/ opt / necfws / bin / nicsetup コマンドを実行して、増設した PCI ス□ットの位置とネット 
ワークインタフェースの型番を対応付けます。 

また、コマンドの最後で LAN ボードのレイアウトが簡易表示されます。 


pci スロット 
の番号 


# /opt/necfws/bin/nicsetup 

Please select inserted NIC ror each PCI slot. 


No. N-Code 
0 


N 8104 -103 
N 8104 -111 
N 8104 -112 
N 8104 -113 
N 8104 -86 


NIC Info 

not used 

1000 BASE-T board 

100BASE-TX board 

1000 BASE-SX board 

1000 BASE-T board (2ch) 

100BASE-TX board (2ch) 


PCI slot [IB] select No. (0-5) [0] : 


増設した NIC の番号を選択。 

_ 増設していない場合は、0を入力 
する。 


[LAN port layout (backplane image)j 

According to your selection, network interface names 
are allocated for NICs as follows after reboot. 


2C ： eth2 
1C ： - 

OnBoardl : ethO OnBoard2 : ethl 


3B : eth3/eth4 

2B ： - 

IB: - 


装置背面の LAN ポートのレイアウト 
が簡易表示される。 


• CPU の増設を行った場合 

/ boot / gmb / g 「 ub . con 1^7< ルの以下の行を修正します。 

[修正前] default=l 
[修正後] default =0 
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基本設定ツールによる設定 

基本設定ツールの項目や実際の手順の流れを示します。 


設定内容 

基本設定ツールでの設定項目およびそれぞれの制限事項は以下のとおりです。 

• サーバタイプ(設定必須 )(★) 

Firewal 用、管理サーバ用を選択してください。 

• ホスト名(設定必須 )(★) 

ホスト名はドメイン名まで含めた FQDN 形式で入力してください。 

• インタフェースの IP アドレスとネットマスク、 MTU 値(設定必須） 

Firewall では、最低2つの設定が必要です。3つ目以降は任意です。管理サーバでは、最低 
1つの設定が必要です。途中のインタフェース ( LAN ポート番号)を飛ばしての設定はでき 
ません。最大設定数は10個です。 MTU 値の設定範囲は、68〜1500です。 

• ネームサーバの IP アドレス 

最大3つのネームサーバを指定できます。入力を省略した場合、 DNS による名前解決は 
行いません。 

• 管理者のメールアドレス(設定必須 ）(★) 

1つのメールアドレスのみ設定できます。 

• メールゲートウェイのホスト名または IP アドレス 

システムがメールを送信する時に SMTP 接続するメールサーバの IP アドレスを指定しま 
す。ホスト名で指定する場合は FQDN 形式で入力してください。ただし、ネームサーバ 
でその名前から IP アドレスが引ける必要があります。ネームサーパの IP アドレスを省略 
した場合、本項目は必ず IP アドレスを指定してください。 

本項目は省略可能ですが、その場合は Fi 「 eWall -1 や二重化機能などシステムが発信する 
メールは□一カルの root ユーザー宛てに配送されます。本項目を省略した場合は定期的 
にメールをチェック、削除し、メールによってディスクを圧迫することがないように注 
意してください。また、 Fi 「 eWall -1 や二重化機能では緊急時にメールで警告を通知するこ 
とがあるため、本項目は必ず設定することをお勧めします。 

• デフォルトゲートウェイの IP アドレス(設定必須 ）（★) 

1つの IP アドレスのみ設定できます。 

• (静的)ルーティングテーブル (★) 

宛先アドレスとネットマスクおよびゲートウェイの組み合わせを指定します。 

本項目は省略することもできます。動的ルーティングはサポートしません。 

最大設定数は1000です。 

• Trap 送信先 IP アドレス 

Trap 送信先 ( ESMPRO / Se 「 ve 「 Manage 「) OIP 7 ドレスを指定します 0 
巳31\/^卩〇/36「ソ6「1\/|311396「との連携を行ゎなぃ場合は設定を省略することができます。 
最大設定数は1000です。 
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NTP (時刻同期)サーバの IP アドレス 


NTP (時刻同期)サーバの IP アドレスを指定します。本項目は設定を省略することができ 
ます。最大設定数は1000です。 

Firewall - 1で取得されるログの保存日数(設定必須） 

1〜90日の範囲で設定ができます。 

二重化機能の設定 

二重化構成を使用する場合に設定します。詳しくは4章を参照してください。 

WbMC の設定 (★) 

WbMC を使用する場合に設定します。<丫〉か < N > を入力します。 

また、 WbMC を使用する場合は、ポート番号 （1024 〜65535)、管理クライアントの IP 
アドレス、管理者名 （15 文字以内）、 https の使用/不使用を入力します。 

SSH の設定 (★) 

SSH を使用する場合に設定します。<丫〉か < N > を入力します。 

また、 SSH を使用する場合は、ポート番号 （1 〇24〜65535)、管理クライアントの IP ア 
ドレス、管理者名 （15 文字以内）を入力します。 

WbMC のパスワード設定 (★) 

WbMC を使用をする場合は、パスワードの入力、変更を行います。使用しない場合は、 
パスワード入力は行いません。 

SSH のパスワード設定 (★) 

SSH を使用する場合は、パスワードの入力、変更を行います。使用しない場合は、パス 
ワード入力は行いません。 

root ユーザーの パスワ ー ド変更 

省略できますが、セキュリティ上変更することをお勧めします。パスワードを変更する 
場合は、<丫>を入力した後、新しいパスワードを入力します。また、 WbMC 、 SSH を使 
用しない場合は、 root のパスワードのみの設定になります。 

現在の時刻設定 

時刻を修正する場合は<丫>を入力した後、8桁もしくは12桁で現在の時刻を入力しま 
す。省略可能です。 

サービスの起動と停止(設定必須） 

起動時に必要なサービスを起動、および不要なサービスを停止させるための設定ができ 
ます。必ず最初の1度目は実行してください。 

p -0 上記の設定後は、 Firewall 本体を再起動させてください。 

ms 



設定例 


前述の「インストール/初期導入設定用ディスクによる設定」-「入力項目の設定」に示すネッ 
トワーク構成を例にして基本設定ツールの使い方を説明します。 


# fwsetup . 

Firewall Server conflauration tool Ver.2.5-0 

server type 

1. Firewall 

2. Management Server 
select number[1 ]： 丄 

hostname[fws.nec.co.jp] : . 


No. 

IF address 

netmask 

mtu - 

1 

192.168 .1.126 

255.255 .255.0 

1500 

2 

202.247 .5.126 

255.255 .255.0 

1500 - 

("a" 

=add | "m num"=modify | "d num"= 

=delete 

interface address(3) 

:172.16 .1.126 


netmask(3) : 255.255. 
mtu(3) [1500] :1500 
interface address(4) 

255.0 


No. 

IF address 

netmask 

mtu 

1 

192.168 .1.126 

255.255 .255.0 

1500 

2 

202.247 .5.126 

255.255 .255.0 

1500 

3 

172.16 .1.126 

255.255 .255.0 

1500 


=list I Enter=next) : a 


("a"=add | "m num"=modify | "d num"=delete 


=list I Enter=next) 


.① 


■② 

■③ 

■④ 

■⑤ 


① 初期設定ツールを起動する。 

② Firewall / 管理サーバを設定する。 

Firewall として設定するので、 [1] を選択します。 

③ ホスト名を設定する。 

ホスト名は FQDN 形式で入力してください。インストール/初期導入設定用ディスクにて 
設定済みの場合は、再度入力する必要はありません。入力済みになっていますので 
〈 Enter 〉 キーを入力してください。 

④ インタフェース別に IP アドレスとネットマスク、 MTU 値を設定する。 

インストール/初期導入設定用ディスクで設定しているので、一覧が表示されます。 



ほエック 


(1) 用 （2) 用 

ネットワークインタフエースの増設を行った場合は、前述の rz システムのセットアップ」 
— 「ネットワークインタフエースと CPU 増設の設定」を参照してください。 
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⑤インタフェースの設定を追力□する。 

前述のネットワークインタフェースの設定で割り当てたインタフェースに対しての IP ア 
ドレスの設定を追加してください。 

一覧から設定内容の追加、および修正、削除、一覧表の再表示をキー入力から操作でき 
ます。 

< A 〉 キー+ <巳1^6「>キー： ポートの設定を追力□する。 

< M > キー+「変更するポート番号」+ < Ente 「> キー:指定したポートの設定を変更する。 
< D > キー+「削除するポート番号」+ < Ente 「>* 一:指定したポートの設定を削除する。 
< L > キ ー + く Enter 〉 キー： リストを再表示する。 

< Ente 「> キー： 次の項目へスキップする。 




nameserver( 1 ) :192.168 .1.2 . 

nameserver(2) : 

No. nameserver address 

1192.168.1.2 

("a"=add "m num"=modify "d num"=delete | "1"=list | Enter=next) : 

^ Hm n Ti n q I - t'^ i - ^ n "1 ^ H H q q r m v\7' r 7^ n 1• . 


CL し LLLL 丄丄丄丄〇し i_CL し ^ J 上 C- LLLCL 丄丄 Cl し L し L 上 C- O O L 入乙奴丄丄じし • V^VJ • 」 P」• .■■■■■■■■.■■■■.■■■■■■■. 

use mail gateway? (y/n)[n] : y 1 . 


mail gateway ： 192.168.1.2 — 1 


default gateway IP address [202.247.5.254] : ... 


static routing . 

destination(1) ： 192.168.2.0 — i 


netmask(l) : 255.255.255.0 
gateway(1) : 192.168.1.254 — 1 

destination(2) : 

No. destination netmask gateway 

1 192.168 .2.0 255.255.255.0192.168.1.254 
("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 



① ネームサーバの IP アドレスを設定する（任意）。 

② 管理者のメールアドレスを設定する。 

インストール/初期導入設定用ディスクで設定した値が表示されますので、設定内容を確 
認して 〈 Enter 〉 キーを押してください 0 

③ メールゲートウェイの IP アドレスを設定する。 

< Y > キーを押して値を入力します。省略する場合は < N > キーを押してください。 

④ デフォルトゲートウェイの IP アドレスを設定する。 

インストール/初期導入設定用ディスクで設定した値が表示されますので、設定内容を確 
認して 〈 Enter 〉 キーを押してください。 

⑤ ルーティングテーブルを 設定する（任意）。 

⑥ 宛先の IP アドレス（ネットワークアドレス）、ネットマスク、およびそのネットワークへ 
のゲートウェイアドレスを設定する。 

インストール/初期導入設定用ディスクで設定済みの場合は、設定した内容のリストが表 
示されます。 
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trap sink host(2 ) ： 

No. trap sink host 

1192.168.1.10 

( "a"=add | "m num"=modify | "d num"=delete | " 1 " =list | Enter=next) : 


NTP server address(2) : 

No. NTP server address 

1 192.168 .1.3 

( "a"=add | "m num"=modify | "d num"=delete | " 1 " =list | Enter=next) : 

n /^\ -•/*' i v \ r ^ r\ "i つ 1 1 ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■ 


log tile rotatl 〇 n ( days ) ： 〇 u 

TTc! o r^~\ iid'hoT' c*\rc*i~ om "P ( / t\ ^ 「 ri"1 • ti . 


UJDC ： し丄 ULJD し C_L JDyjD し CLlLr \ y / 11J H .. 


use firewall Web Management Console (WbMC) (y/n) [y] : y .. 


change firewall WbMC configuration? (y/n)[n] : y . 

-為 j— / -i ハ o/i 广 r r 一 ir \ 「 -i o ハハハ 1 i o r\ 


port ( 1024 - 65535 ) L18000J : 18000 

No. available host ip address 

1 192.168.1.99 

( "a"=add | "m num" =modify | "d num" =delete | " 1 " =list | Enter=next) : ■■■■■■■ 

ii r-i ハ In トト J ( \ r / in \ r t r 1 . tr ........................................................................................................ 


U.O t ： 11 しし ^) \y / Li j i_y」.y .. . . . . ■■■謂 . 

aval 丄 able usenr (with in 15 cha.nra.ctenr) [fws-admin] : . 





① 


② 


③ 

④ 

⑤ 

⑧ 

⑦ 


⑧ 

⑨ 

⑱ 


① trap 送信先 IP アドレスを設定する（任意）。 

ESMPR 〇/361^^「1\/|311396「がインス I ルされているマシンの IP アドレスを設定してく 
ださい。 

② NTP (時刻同期）サーバの IP アドレスを設定する（任意）。 

③ Fi 「 eWall -1 で取得されるログの保存日数を設定する。 

④ 二重化機能に関する問い合わせメッセージ。 

二重化機能を使用しない場合、 < N > キーを押してください。 


■： 二重化機能を使用する場合で二重化のためのポリシー設定が、未設定の場合 < N > キーを 

r^n を、設定済みの場合は<丫>キーを押してくださし、0詳しくは4章を参照してくださし、。 



シ 

7s 

h 

の 

セ 

ヅ 

卜 

ア 

ヅ 
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⑤ WbMC の使用/未使用を設定をする。 

< Y > キーか < N > キーを 押します。 

⑧ WbMC の設定を行う。 

<丫>キーを押して、次へ進みます。インストール/初期導入設定用ディスクで設定した値 
が表示されますので、設定内容を確認して < Ente 「> キーを押してください。確認が不要な 
場合には、 < N > キーを押してください。 

⑦ ポート番号を入力する。 

既定値は、18000です。 

⑧ 使用者のホストの IP アドレスを入力する。 

最大使用可能ホスト数は、100です。 

⑨ https を使用する場合は、<丫>キーを押します。 

⑩ 使用者の名前を登録する。 

最大文字数は、15文字です。 
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use secure shell(SSH) (y/n)[y] : y . 

change SSH configuration? (y/n)[n] : y . 

port( 1024 - 65535 )[18022] : . 

No. available host ip address 
1 192.168 .1.99 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 

available user(with in 15 character)[fws-admin] : . 

once again input? (y/n) [n] : n .. 

[WbMC] change passward for user fws-admin? (y/n)[n] : n . 

[SSH] change passward for user fws-admin? (y/n)[n] : n . 


① SSH の使用/未使用を設定する。 

<丫> キーを 押します。 

② SSH の設定の設定を行ラ。 

< Y > キーを押して、次へ進みます。インストール/初期導入設定用ディスクで設定した値 
が表示されますので、設定内容を確認して < Ente 「> キーを押してください。確認が不要な 
場合には、 < N > キーを押してください。 

③ ポート番号を入力する。 
default 値は、18022です。 

④ 使用者のホストの IP アドレスを入力する。 

最大使用可能ホスト数は、100です。 

⑤ 使用者の名前を登録する。 

最大文字数は、15文字です。 

⑥ ここまでの設定項目について設定を変更したいときは<丫>キーを押す。次に進む場合は、 
< N > キーを押す。 

⑦ 運用監視ツールの使用者のパスワードを入力する。 

パスワードは推測されにくいものを用意してください。 

インストール/初期導入設定用ディスクで設定済の場合は、再入力の必要はありません。 
< N > を入力し次へ進みます。 

⑧ SSH の使用者のパスワードを入力する。 

パスワードは推測されにくいものを用意してください。 

インストール/初期導入設定用ディスクで設定済の場合は、再入力の必要はありません。 
< N > を入力し次へ進みます。 


@ ④⑤ 項 G ⑧ 
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① 


change root password? (y/n)[n] : y . 

Changing password for user root. 

New UNIX password : 

Retype new UNIX password : 

passwd : all authentication tokens updated successfully 
Fri Sep 616:48:44 JST 2002 

set date and time? (y/n)[n] : y . 

date and time (MMDDhhmm[[CC]YY ])： 09061653 
Fri Sep 616:53:01 JST 2002 
set date and time? (y/n)[n] : 


replace startup-scripts? (y/n)[n] : y 
Please reboot the system. 


#shutdown -r now 


■② 

③ 

■④ 


① 出荷時に設定されているパスワードを変更する。 

セキュリティのためにも、出荷時のパスワードから変更することをお勧めします。 
パスワードは推測されにくいものを用意してください。 

② 時刻の設定を変更する。 

③ 必要な サービスの 起動および不要な サービスの 停止を行う（必須)。 

ここでは必ず<丫>キーを押してください。 

④ 設定を有効にするため、システムを再起動する。 

rO fwsetup を実行した際、以下のようなメッセージが表示されることがあります。 


m 


# fwsetup 

Firewall Server configuration tool Ver .2.5-0 
fwsetup is under use ... 

# 

この場合、他のユーザーが fwsetup を実行している可能性がありますので、他のユー 
ザーの使用状況を確認した後、再度 fwsetup を実行してください。 

また、他のユーザーが fwsetup を実行していないことが確認された場合、以下のコマ 
ンドを実行した後、再度 fwsetup を実行してください。 

# rm -f / var / opt / necfws / lock/fwsetup 
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VPN-1 UTM Gateway. 

SmartCenter UTM. 

SmartCenter UTM and VPN-1 UTM Gateway. 


Enter your selection (1-2/a-abort)[1] : 3 . 

IP forwarding disabled 

Hardening OS Security : IP forwarding will be disabled during boot. 
Generating default filter 
Default Filter installed 

Hardening OS Security : Default Filter will be applied during boot. 
This program will guide you through several steps where you 
will define your Check Point products configuration. 

At any later time, you can reconfigure these parameters by 
running cpconfig 


(1) Check Point Power. 

(2) Check Point UTM. 

Enter your selection (1-2/a-abort)[1] : 2 . 

Please specify the Check Point UTM Product type you are about to install : 


③ 


④ 


① < Ente 「> キーを押すと使用許諾書が表示されますのでお読みください。 

② 使用許諸に承認した場合は<丫〉キーを押す。 

③ インストールする製品を選択する。 

2の 「Check Point UTM 」 を選択し、インス I ルします。 

④ インストールするモジュールを選択する。 

通常は3を選択し、一体型構成でインストールします。 

Fi 「 eWall -1 管理モジュールを別マシンにインス I -ールして管理する、分散型構成でインス 
トールする場合は1を選択してください。二重化のために分散型構成でインストールする 
場合、以降の設定内容については「二重化構成について」を参照してください。 


Firewall - 1のコンフイグレーシヨン 

次に管理コンピュータか 6 Fi 「 eWall -1 付属の cpconfig コマンドを実行します。 
以下の手順でコンフイグレーシヨンを行ってください。 


# cpconfig 


We 丄 come to Check Point Conrlauration Program 

Please read the following license agreement. 
Hit 'ENTER' to continue.... 


Do you accept all the terms of this license agreement (y/n) ? y 

Please select one of the following options : 

Check Point Power - for headquarters and branch ofrices. 

Check Point UTM - for medium-sized businesses. 


① 

■② 


1 


2 3 
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Configuring Licenses... 

Host Expiration Signature 


Feutures 


Note : The recommended way of managing licenses is using SmartUpdate. 
cpconfig can be used to manage local licenses only on this machine. 


Do you want to add licenses (y/n) [n] ? y 


Do you want to add licenses [M]anually or [F]etch from file : m 
IP Address ： 202.247.5.126 _ 

Expiration Date : 

Signature Key ： 

SKU/Features : 

License was successfully installed 
License will be put into kernel after cpstart 

Configuring Administrator... 


No Check Point products Administrator is currently 
defined for this SmartCenter Server. 


Do you want to add an administrator (y/n; [y] ? 

Administrator name : fws-admin 

Password : . 

Verify Password : 


Administrator fws-admin was added successfully and has 
Read/Write Permission for all products with Permission to Manage 
Administrators 


① 

② 

.③ 


■④ 

.⑤ 


① <丫>キーを入力して、ライセンスを追力□する。 

② < M > キーを入力して、ライセンスを画面から(マニュアルで)入力する。 

③ 事前に取得したライセンス情報を入力する。 

ライセンスは、 Firewall のライセンス製品に添付されている「ライセンス申請書」を紙面記 
載の宛先 NEC Exp 58/ FWS 担当へ FAX して取得してください。本製品には「ライセンス 
申請書」は含まれていません (「 Firewall の製品体系」を参照してください)。 

④ <丫>キーを入力して、管理者登録を行う。 

⑤ Firewall ( FireWall -1) の管理者名、およびパスワード、属性を設定する。 
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Configuring GUI Clients... 


GUI Clients are trusted hosts from which 

Administrators are allowed to log on to this SmartCenter Server 
using Windows/X-Motif GUI. 

No GUI Clients defined 

Do you want to add a GUI Client (y/n) [y] ? y .. 

You can add GUI Clients using any of the following formats : 

1.IP address. 

2. Machine name. 

3. "Any" - Any IP without restriction. 

4. IP/Netmask - A range of addresses, for example 192.168 .10.0/255.255.255.0 

5. A range of addresses - for example 192.168 .10.8-192.168.10.16 

6. Wild cards (IP only) - for example 192 .168.10.* 

Please enter the list of hosts that will be GUI Clients. 

Enter GUI Client one per line, terminating with CTRL-D or your EOF 
character. 

192.168 .1.99 . 

Is this correct (y/n) [y] ? y . 


Configuring Group Permissions... 


Please specify group name [<RET> for super-user group] : .. 

No group permissions will be granted. Is this ok (y/n; [y] ? y 


Configuring Random Pool... 


Automatically collecting random data to be used in 
various cryptographic operations. 


Automatic collection of random data is done. 


① 


② 

③ 


④ 

⑤ 


① <丫>キーを入力して、クライアントマシンのリストを新規作成する。 

② セキュリティポリシーの設定を行うクライアントマシンの IP アドレスを設定する。 

複数の IP アドレスを設定する場合は改行して複数行入力する。入力を終了する場合は 
< Ct 「 l 〉-< D > キーを押してください。 

③ 入力したアドレスが正しければ<丫>キーを押す。 

④ Group の設定を行わない場合は、 < Ente 「> キー入力をする。 

⑤ Group 設定を終了する場合は、<丫>キーを押す。 


74 




















Configuring Certificate Authority... 


The Internal CA will now be initialized 
with the following name : fws.nec.co.jp 

Initializing the Internal CA...(may take several minutes) 

Internal Certificate Authority created successfully 
Certificate was created successfully 
Certificate Authority initialization ended successfully 

Trying to contact Certificate Authority. It might take a while... 
fws.nec.co.jp was successfully set to the Internal CA 

Done 


Configuring Certiricate's Fingerprint... 


The following text is the fingerprint of this SmartCenter Server : 

ADD OX GAWK MUM LONG RISK CARD FERN LILY KEY JOKE FLOC 

Do you want to save it to a file? (y/n) [n] ? n ... ① 

generating INSPECT code for GUI Clients 
initial management : 

Compiled OK. 

Hardening OS Security ： Initial policy will be applied 
until the first policy is installed 


In order to complete the installation 
you must reboot the machine. 

Do you want to reboot? (y/n) [y] ? y ... (2) 


① GUI クライアントを接続したとき、接続した Fi 「 eWall -1 が正しいものであるかを確認する 
ための文字列が表示される。 

この文字列をディスク上に保存する場合は<丫>キーを、保存しない場合は < N > を入力し 
ます。 

② 終了後、再起動する。 

再起動後は、 Fi 「 eWall -1 のデフォルトフィルタが有効になるため、 SSH 、 WbMC での接 
続が不可となります。 
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セキユ II ティポ IJ シーのセツトアツ 


セキュリティ機能をセットアップする「3|7131^〇33|113031^」を管理クライアントにインストー 
ルし、編集したポリシーをインス!-ールします。 

次の条件を満たすコンピュータに SmartDashboard やその他のツールをインストールして、 
クライアントマシンとして使用します。 

• オペレーティングシステム： Windows XP Home/professional 

Windows 2000 P 「 ofessional(SP 1、 SP 2、 SP 3、 
SP 4) 

Windows 2000 Server(SPK SP 2' SP 3、 SP 4) 
Windows 2000 Advanced Se 「 ve 「（ SP 1、 SP 2、 
SP 3、 SP 4) 

Windows 2003 Server 

• ディスク空き容量： 100 MB 以上 

• メモリ： 256 MB 以上 

* 上記は、2007年3月現在の情報です。今後のパッチリリースにより変更になる可能性があ 
ります。 


GUI クライアントのインストール 

管理クライアントに SmartDashboard をインストールします。ここでは 、 SmartDashboard 
といっしょに□グを解析するためのツール 「SmartView Tracker 」 とシステムの状態をチエッ 
クする rSmartView Monitor 」 もインストールします。 


1. コンピュータの CD-ROM ドライプに Check Point NGX CD-ROM (CD2) をセットする。 

自動的にインストールプログラムが起動し、画面が表示されます。 

インストールプログラムが起動しない場合は¥ wrappers ¥ windows フォルダにある 
r autorun.exe」 を実行してください。 

Welcome 画面が表示されます。 

2. [Next] をクリックする。 

使用許諾契約書が表示されます。 

3. 内容をよく読み、同意する場合は [I accept the terms of the license agreement] をチェックし、 
[Next] をクリックする。 

同意しない場合は [Quit] をクリックして終了します。 

[Installation Options] 画面が表示されます。 
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4. 製品の選択を行う。 


[Check Point UTM] を選択し、 [Next] をクリックしてください。 
[Installation Options] 画面が表示されます。 


Check Point. 



HMlii 和 》 IU!mA|| 却 Usfkt 


NGX R62 


D Nip re S«cur(lT 令 ® 


•二 ClMdk Pcwt Pcm»i 

€h«* Pnw* -ii 


lor hmSqLMrtfn： mdbrincii ortc« 


: k tew tffM-tor medun-sii^ihii^HiH 




hriml A l_ m 

* 赖 tt 


^DnduelKqn 


© ® 

Prflviisyp N« 


5. [New Installation] を選択し、 [Next] をクリックする。 
Product 選択画面が表示されます。 
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6. Management の [SmartConsole] のみにチェックし、 [Next] をクリックする。 
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7. インストールする Products が表示されますので、 [SmartConsole] と表示されていることを確認 
し、 [Next] をクリックする。 

Choose Destination Location 画面が表示されます。 

8. 必要に応じてフォルダを変更し、 [Next] をクリックする。 

インスI-ールするコンポーネントを選択する画面が表示されます。 

9. [SmartDashboard] , [SmartView Tracker]、[SmartUpdate], [SmartView Monitor] をチェック 
し、 [Next] をクリックする。 

インストールが開始されます。 



10. ショートカット作成を行うかのメッセージが表示される。 

作成する場合は「はい」をクリックします。 

11.Setup 完了のメッセージが表示されるので、[〇 K] をクリックする。 


12. Complete ダイアログが表示されるので、 [Finish] をクリックする。 

13. 完了画面が表示されるので、 [Finish] をクリックする。 

14. SmartDashboard を起動し、 cpconfig で登録したユーザ名とパスワード、および Firewall の内側 
(管理クライアント側)のアドレスを入力する。 

SmartDashboard を使用し、 Firewall と接続してポリシーを作成します。ネットワーク構成に応じ 
たポリシールールを作成してください。 

SmartDashboard の使い方、セキュリティポリシーの設定等については Fi「eWall-1 に付属のマ 
ニュアルを参照してください。 


Welcome to Check P 0 时 
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ポリシーを作成する時は、以下の手順を用いて Traditional Mode で作成することを推奨しま 
す。 

15. Traditional mode の設定 

SmartDashboard を起動し、接続されたらメニューバーから [ Policy ] - [Global Properties ] の 
VPN ページ、(こおし、て 、 「Traditional mode to all new Security Policies : Setup with Encryption 
Rules 」 を選択し、[〇 K ] をクリックする。 



16. メニューバーから FileHNew ] を選択し 、 Policy Package Name を設定する。 
「Security and Address Translation 」 を選択して [ OK ] をクリックする。 

新しいポリシー画面が作成され、ポリシーの設定が可能となります。 



Firewall と管理クライアントとの設定において、 SSH を使用しますので、 FireWall -1 のポリ 
シーに、管理クライアントから Firewall に対して SSH のポート番号へのアクセスを許可するた 
めのルールを追加してください。このとき、接続元には必ず管理クライアントのみを設定し、 
他のホストからのアクセスは許可しないようにしてください。 


システムのセットアップ 
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【参考1】 WbMC を使用した設定手順の流れ 

以下に、 WbMC を使用したセツトアップの概要を説明します。 


n-O WbMC の接続は、必ず内部ネットワークの管理クライアントから行ってください。外部か 
ら接続を許可する設定には絶対にしないでください。また、 WbMC を使用する場合は、 
Internet Explorer バージヨン5以上でご利用ください。 


1 . インストール/初期導入設定用ディスクによる初期設定をする。 

インストール/初期導入設定用ディスクの設定については、前述の「インストール/初期導入設定用 
ディスクによる設定」を参照してください。 

リモートメンテナンス機能の利用に関する設定において、 「 WbMC を使用する」にチェックをつ 
けます。 

2. 管理クライアントの Web ブラウザを使用して Firewall の WbMC に接続する。 

このときの URL は、 Firewall の内側(管理クライアントが設置されているネットワーク側)のインタ 
フェースの IP アドレスを、ポ_卜番号には初期設定、あるいは基本設定ツールで指定したポート 
番号を指定します。 


3. 


4. 


5. 


6 . 


イ列） https ://192 . 168 . 1 . 126:18000/ 


Firewall の内側のインタ 基本設定ツールで指定したポート番号 

フェースの IP アドレス 


接続すると、セキュリティの警告が表示 
される。 


[はい]をクリックします。 

ユーザー名とパスワードの問い合わせが 
ありますので、初期設定、あるいは基本 
設定ツールで設定した管理者名とパス 
ワードを入力する。 



接続に成功すると、右の画面が表示され 
ます。 

四角で囲まれた部分をクリックする。 

左側にメインメニューを表示する 「Menu 
領域」、右側に「メイン領域」が表示されま 
す0 

左側のメニューから「基本設定」を選択し 
て設定を行ってください。 



FireWall - 1のポリシーに、管理クライ 
アントから Firewall に対して WbMC の 
ポート番号へのアクセスを許可するた 
めのルールを追加します。このとき、 
接続元には必ず管理クライアントのみ 
を設定し、他のホストからのアクセス 
は許可しないようにしてください。 



j ゴ # •jj.j 



【注意】画面イメージはバージョンによつて異なる場合 
があります。 
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【参考2】コンソールを使用した設定手順の流れ 

本体の電源が OFF の状態で、管理クライアントを本体背面にあるシリアルポート 2( COM 2) 
に接続し、システムを起動してください。 

• 本体に接続するために必要なもの 

-シリアルインタフェース ( RS -232 C ) を持ったコンピュータ 
-通信用ソフトウェア（例 ： Windows 2000ハイパーターミナル） 

-シリアルケーブル（クロス） 

K 210 -84(05)(9 pin -9 pin ) または K 208-12(03)(9 pin -25 pin ) のうち、お手持ちのコン 
ピュータに適合するケーブルをご利用ください。 

• ケーブルの接続 

本体前面にあるシリアルポート2 ( COM 2) にシリアルケーブル(クロス）を接続してくださ 
い。 

• ターミナルエミュレータの設定 

ターミナルエミュレータのパラメータは以下のように設定してください。 

ボーレー ト ：19,200 bps 

パリティ ：なし 

キャラクタ長 ：8 t)it 
ストップビット： 1 t»it 
• 管理クライアントの接続 

本体の電源を投入後、しばらく （3 分程度）してから管理クライアントの < Ente 「> キーを押 
すと、管理クライアントのディスプレイに login プ□ンプトが表示されます。 

管理クライアントから 「 root 」 と入力し、 「 Password 」 に同梱の 「 root パスワード」に書かれ 
ているパスワードを入力します。□グインに成功すると「#」のプロンプトが表示されま 
す。 

I H -〇 root のパスワードは、基本設定ツールで出荷時のパスワードから変更してください。 

以下に、コンソールを使用したセットアップの手順概要を説明します。 

1 . Firewall 本体にコンソールを接続して□グインする。 

2 . 基本設定ツール ( fwsetup ) を実行して設定をする。 

設定については、本章の rz システムのセットアップ」を参照してください。 

3. FireWall -1 のコンフィグレーション ( cpconfig ) の設定をする。 

コンフィグレーションの設定については、本章の「2.システムのセットアップ」- 「 FireWall -1 の 
コンフィグレーション」を参照してください。 

4. セキュリティポリシーのセットアップとインストールをする。 

本章の「3.セキュリティポリシーのセットアップ」を参照してください。 


システムのセットアップ 
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バックアッ 



万一の故障による再インストールに備えて、設定したセキュリティポリシーのバックアップ 
を作成します。バックアツプの取得方法は2種類あります。 



バックアップを取得する際には、 Firewall の運用を一時的に中断させなければいけません。 


コマンドによるバックアップ取得 


fwbackup コマンドを管理クライアントから実行するとバックアップ取得を開始するメッ 
セージが表示されます。 < Ente 「> キーを押し継続すると、フロッピーディスクのセットを要 
求するメッセージが表示されます。 

フロッピーディスクをセットしてく Ente 「> キーを押すと、後は自動的にフロッピーディスク 
へバックアップします。 

バックアップコマンド実行時、バックアップに必要なフロッピーディスクの枚数が表示され 
るので、必要数のフロッピーディスクをあらかじめ用意してください。 


ポリシーのルール数やユーザー登録数が多い場合などは1枚に保存できないことがありま 
す。ファイルがフロッピーディスク1枚に保存できない場合には、複数枚のフロッピーディ 
スクに分割してバックアップコピーを行います。メッセージに従ってフロッピーディスクを 
入れ換えてください。 


B1 


バックアップディスクには、 
使用してください。 


必ず DOS フォーマツト （1.44 MB ) 済みのブランクディスクを 


Firewall の運用を停止する 


コマンド入力後、 < Ente 「> キーを押す 


< Ente 「> キーを押す 


必要なフロッピーの 
枚数が表示される 


二重化構成を使用しない 
場合は表71^されなし'' 


フロッピーディスクの 
入れ換えのメッセージ 
が表示された場合は、 
フロッピーディスクを 
入れ換え、 < Ente 「> 
キーを押す 


’ # cpstop / 

# fwbackup ^ 

Starting upgrade export 
<略> 

• Press ENTER when ready.. 

<略> 

4 floppy disks are needed for backup. 

Please insert DOS formatted(1.44MB) floppy disk. (#1). 

Press enter key. - --- 

backup fws . ini ... フロッピーアイスクを 




backup .http 
backup .ssh 
backup clp.conf 
backup fw config riles 

Please insert next floppy disk (2/4), and press 

Please insert next floppy disk (3/4), and press 

Please insert next floppy disk (4/4), and press 

After turned off FDD access light, Press enter key. 

# cpstart 


本体にセツトし、 

< Ente 「> キーを押す 


enter key 
enter kev 
enter key 


ここでフロッピーディスクを取り出し、コマンドを 
入力する。 Firewall が運用を開始する 


フロッピーディスクドライブのアクセス 
ランプが消えたら < Ente 「> キーを押す 
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WbMC によるバックアップ取得 


[システム]—[バックアップ/リストア]を選択してください。詳しくはヘルプを参照してく 
ださい。 


オンラインアップデー 



Firewall にインスI-ールされているパッケージについて以下の状況が発生した場合、「オンラ 
インアップデート」機能を使用することにより対象のパッケージをアップデートすることが 
できます。 

• 不具合が生じた 

• パッチや次期バージョンがリリースされた 


オンラインアップデートでは、 FireWaN - l モジュール (Feature Pack など)をアップデー 
卜することはできません。 

FireWall -1 モジュールのアップデート ( HotRx 適用等も含む)が必要となった場合、新日鉄 
ソリューションズ ( NSSOL ) のダウン□ー ドサイトよりモジュールを入手し、適用してくだ 
さい0 


オンラインアップデート手順 

1 .Management Console で「パッケージ」一「アップデートモジュールー覧」をクリックする。 
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2. ユーザ認証をする。 

ソフトウェアサポートサービスを購入済みのお客様向け認証ページです。「お客様番号」、「登録上 
の分類」、「パスワード」を入力してください。未購入のお客様は「認証しない」をクリックして次へ 
進んでください。認証することで全てのアップデートモジュールを参照することが可能となりま 
す。未購入のお客様は、購入者向けに公開されているモジュールは参照できません。 
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[ユーザ認証 ] n 


ミ証]画面は、初めて[アップデートモジュールー覧]画面を表示させた時、もしくは、 
[アップデートモジュールー覧]画面にて[最新情報に更新]をクリックした時に表示されます。 


3. 適用可能なモジュールの一覧を表示する。 

公開されているアップデートモジュールの情報を取得し、アップデートパッケージと Firewall にイ 
ンストール済みのパッケージとの比較を行います。新規適用またはアップデートが必要となる 
パッケージのみを画面に表示します。 




い * 燄 Q Jf — 

押レス®!] が HOMmIm 1 




表示されている情報は、最新情報でない可能性があります。 Firewall をセキュアな状態に保つ 
ために[最新情報に更新]をクリックして、表示されている情報を最新にしてください。 


4. パッケージを取得する。 

[適用]をクリックしたモジュールをダウンロードします。その際、依存関係のあるパッケージは 
すべて取得されます。 


ff% mmMr 

| 頤^； Iff 
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5. 適用前の確認をする。 

取得したパッケージの適用を行う前に、信頼性チェックを行います。取得したパッケージの 
チェックサムが画面に表示されますので、内容を確認してください。 

6. パッケージを適用する。 

適用する場合は、[〇 K ] をクリックしてください。 


ESMPRO/ServerAgent のセツトアツ 



ESMPR 〇 /ServerAgent は出荷時にインスIル済みですが、固有の設定がされていませ 
ん。以下のオンラインドキュメントを参照し、セットアップをしてください。 

添付のバツクアツプ CD-ROM:/nec/doc/esmp「o.sa/ 


■ I ； ESMPRO / ServerAgent の他にも「エクスプレス通報サービス」 (5 章参照）がインストール済み 

です。ご利用には別途契約が必要となります。詳しくはお買い求めの販売店または保守サー 
- ビス会社にお問い合わせください。 

n -〇 シリアル接続の管理クライアントから設定作業をする場合は、管理者として□グインした 
後、設定作業を開始する前に環境変数 「 LANG 」 を rc 」 に変更してください。デフォルトの 
シェル環境の場合は以下のコマンドを実行することで変更できます。 

#export LANG=C 


7. システム情報のバックアッ 



システムのセットアップが終了した後、オフライン保守ユーティリティを使って、システム 
情報をバックアップすることをお勧めします。 

システム情報のバックアップがないと、修理後にお客様の装置固有の情報や設定を復旧（リ 
ストア）できなくなります。次の手順に従ってバックアップをしてください。 

| 讎"〇 EXPRESSBUILDER ( SE ) CD-ROM からシステムを起動して操作します。 

EXPRESSBUILDER ( SE ) CD-ROM から起動させるためには、事前にセットアップが必 
要です。5章の 「EXPRESSBUILDER ( SE )」 を参照して準備してください。 


1. 3.5 インチフロッピーディスクを用意する。 

2. EXPRESSBUILDER ( SE ) CD - ROM を本体装置の DVD - ROM ドライプにセットして、再起動す 

合 〇 

EXPRESSBUILDER ( S 0 から起動して 「 EXPRESSBUILDER ( SE ) トップメニュー」が表示されま 
す。 

3. 「ツール」_「オフライン保守ユーティリティ」を選ぶ'。 

4. [システム情報の管理]から[退避]を選択する。 

以降は画面に表示されるメッセージに従って処理を進めてください。 
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管理コンピュータのセツトアツ 



本装置をネットワーク上のコンピュータから管理 • 監視するためのアプリケーションとし 
て、 「ESMPRO/ServerManager」 と 「DianaScope」 が用意されています。 

これらのアプリケーションを管理コンピュータにインスI-ールすることによりシステムの管 
理が容易になるだけでなく、システム全体の信頼性を向上することができます。 


ESMPRO/ServerManager<hDianaScope(D^>X 卜ールについては5章、または 
EXPRESSBUILDER (SE) CD-R 〇 M 内のオンラインドキュメントを参照してください。 
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再セツトアツフ 


再セットアップとは、システムの破損などが原因でシステムが起動できなくなった場合などに、添付の 
「バックアップ CD - R 〇 M 」 を使ってハードディスクを出荷時の状態に戻してシステムを起動できるようにす 
るものです。以下の手順で再セットアップをしてください。 



ンの作成 


「保守用パーティション」とは、装置の維持 • 管理を行うためのユーティリティを格納するた 
めのパーティションで、 55 MB 程度の領域を内蔵ハードディスク上へ確保します。 

Firewall の信頼性を向上するためにも保守用パーティションを作成することをお勧めします。 
保守用パーティションは、添付の 「EXPRESSBUILDER ( SE ) CD - R 〇 M 」 を使って作成しま 
す。詳しくは5章の「保守 • 管理ソフトウェア」を参照してください。 

保守用パーティションを作成するプロセスで保守用パーティションへ自動的にインストール 
される ユー ティリティは、「システム診断 ユー ティリティ」と「オフライン保守 ユー ティリ 
ティ」です。 


システムの再インストール 


ここでは、システムの再インストールの手順について説明します。 

二重化構成を構築している場合は、再インストールの手順が異なります。4章の「二重化構成 
の再セツトアップ」を参照してください。 


再インストールを行うと、装置内の全データが消去され、出荷時の状態に戻ります。必要な 
データが装置内に残っている場合、データをバックアップしてから再インストールを実行し 
てください。 
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再インストールの準備(コンソール接続） 

作業を行うためにはコンソールが必要です。本体の電源が OFF の状態で、お手持ちのバソコ 
ン(管理コンピュータ）を本体前面のシリアルポート 2(COM2) に接続してください。 

• Firewall との接続に必要なもの 

-シリアルインタフェース (RS232C) を持ったコンピュータ 
-通信用ソフトウェア（例： Windows 2000ハイパーターミナル） 

-シリアルケーブル（クロス） 

K 210 -84(05)(9pin-9pin)、 または K208-12(03) (9pin-25pin) のうち、お手持ちのコン 
ピュータに合ったケーブルを使用してください。 

• ケーブルの接続 

本体背面にあるコネクタにシリアルケーブル（クロス）を接続してください。 

• ターミナルエミュレータの設定 

ターミナルエミュレータのパラメータは以下のように設定してください。 

ポーレート:19,2〇〇 bps 
パリティ：なし 
キャラクタ長： 8bit 
ストップビット： Ibit 
• 再インストールに必要なディスク 

あらかじめ以下のディスクを用意してください。 

• ノ\'ックアップ CD-ROM 

• Check Point NGX CD-ROM 

• インストール/初期導入設定用ディスク 
• バックアップディスク（任意） 

| p -0 再インストールは、 LAN ケーブルをすべてはずしてから実行してください。 




再インストールの手順 


1. 本体の電源を ON にし、前面にあるフロッピーディスクドライプにインス!ル/初期導入設定用 
ディスクを、 DVD - R 〇 M ドライブにバックアップ CD - R 〇 M をセットする。 

自動的にプログラム CD - R 〇 M からのインストールが始まります。 

インストールは約10分で完了します。 

インストールを完了すると、 DVD - R 〇 M ドライプからバックアップ CD - R 〇 M が排出されます。 
本体は、電源が入った状態で、システムが停止している状態になります。 

2. バックアップ CD - R 〇 M およびインストール/初期導入設定用ディスクを取り出した後、 POWER ス 
イッチを押して電源を〇 FF にする。 

3. インストール/初期導入設定用ディスクをセットし、 POWER スイッチを押して電源を〇 N にする。 
インストール/初期導入設定用ディスクは、初期導入設定用ツールで作成済みのものとします。 

4. login プロンプトが表示されたら、 「 root 」 と入力し、 Password に添付品の 「 root パスワード」に書 
がれているパスワードを入力します。 

□グインに成功すると「#」のプロンプトが表示されます。 

5. <バックアップしておいた設定をリストアする場合> 

以下のコマンドを実行して設定を行う。 

設定をバックアップしたフロッピーディスクを本体にセツトしてください。 


(# 1 ) 


# rwrestore -i 

Please insert backup rloppy disk. 

Press enter key. - 

restore fws.ini ... 

restore clp.conf ... _ 

restore .http... 
restore .ssh... 
restore completed. 

After turned off FDD access light, Press enter key. 

# fwsetup -i /opt/necfws/etc/fws.ini 


# shutdown -r now 


バックアップディスクをセットして、 
'< Ente 「> キーを押す 

二重化構成を使用していない場合は 
表示されない 


終了後、再起動する 


フロッピーディスクドライブのアクセスランプが消えたら 
< Ente 「> キーを押し、その後フロ ツ ピー デイ スウを取り出 
す 


<バックアップのリストアをしない場合> 

本章の rz システムのセットアップ」-「基本設定ツールによる設定」を参照して設定を行い、終了 
後、再起動する。 
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6 . 起動後、 DVD - ROM ドライプに Check Point NGX CD-ROM ( CD 1) をセツトし、 FireWall -1 のモ 
ジュールを以下の手順で適用する。 


# mount /dev/cdrom 

# cd /mnt/cdrom 

# ./UnixInstallScript 


7. [ Welcome ] 画面が表示されますので、 < N > キーで次に進みます。 

8. 使用許諾書が表示されますので、お読みいただいた後、使用許諾に承認した場合は < Y > キーを押 
します。 

9. 以下のメッセージが表示されます。<2>キーを入力し、 < N > キーで次に進みます。 


Check 

Point 

Power 

- for headquarters and branch ofrices 

Check 

Point 

UTM - 

for medium-sized businesses 

1() 

Check 

Point 

Power 

2 (*) 

Check 

Point 

UTM 


10. 以下のメッセージが表示されます。<1>キーを入力し、 < N > キーで次に進みます。 


Please select one of the rollowmg options 
1(*) New Installation 

2 ( ) Installation Using Imported Configuration 


11. 以下のメッセージが表示されます。<1>キ ー、 <2>キーを入力し、 < N > キーで次に進みます。 


The following products are available in this version 
Please select product(s) 


1[*] VPN-1 UTM 

2 [*] SmartCenter UTM 

3 [ ] Eventia Reporter UTM 

4 [ ] SmartPortal 


12. インス!-ールするプロダクトが表示されます。 < N > キーを入力し、次に進みます。 


You have selected the following products for installation : 
* VPN-1 UTM and SmartCenter UTM 


13. 以下のメッセージが表示されます。ここではライセンス入力しないため、 < n > キーを入力し、 
< Ente 「> キーで次に進みます 0 


Configuring Licenses... 


Host Expiration Signature Features 

Note : The recommended way of managing licenses is using SmartUpdate. 
cpconrlg can be used to manage local licenses only on this machine. 

Do you want to add licenses (y/n) [y] ? n 
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14. 以下のメッセージが表示されます。ここでは登録を実施しないため、<门>キ_を入力し、 < Enter > 
キーを入力します。継続するので、 < y > キーを入力し、 < Enter > キーを入力します。 


Configuring Administrator... 

No Check Point products Administrator is currently 
defined for this SmartCenter Server. 

Do you want to add an administrator (y/n) [y] ? n 

No administrator is currently defined. 

Are you sure you want to continue? (y/n) [n] ? y 


15. 以下のメッセージが表示されます。<门>キ_を入力し、 < Enter >*_ で次に進みます。 


Configuring GUI Clients... 

GUI Clients are trusted hosts rrom which 

Administrators are allowed to log on to this SmartCenter Server 
using Windows/X-Motif GUI. 

No GUI Clients defined 

Do you want to add a GUI Client (y/n) [y] ? n 


16. 以下のメッセージが表示されます。 < Enter > キーを2回入力し、次に進みます。 


Configuring Group Permissions... 

Please speciry group name [<RET> for super-user group] : 

No group permissions will be granted. Is this ok (y/n) [y] ? 


17. 以下のメッセージが表示されます。 < n > キーを入力し、 < Enter > キーで次に進みます。 


Configuring Certificate's Fingerprint... 

The followmq text is the rmaerprint of this SmartCenter Server : 
AAAA AAA AAAA AAA AAA AAAA AAAA AAA AAAA AAAA AAAA AAAA 

Do you want to save it to a file? (y/n) [n] ? n 


18. 再起動をするが確認のメッセージが表示されます。ここでは、 < E > キーを入力し、次に進みます。 


Installation program completed 


In order to complete the installation 
you must reboot the machine. 

Would you like to reboot the machine ? 

NOTE : Please remove the CD from 

your machine before reboot. 
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19. CD - R 〇 M を取り出し、再起動します。再起動後、必要な LAN ケープルを接続してください。 


# cd 

# eject 

# shutdown -r now 


20 . ポリシーの作成を行う。 

<あらかじめバックアップしておいた設定をリストアする場合> 

コマンドを実行する前に、バックアップを取得した際の FireWall -1 HotFix 適用状態まで HotFix を 
適用する。 


以下のコマンドを実行して FireWall -1 の設定をする。 


フロッピーディスクの 
入れ換えのメッセージ 
が表示された場合は、 
フロッピーディスクを 
入れ換え、 < Ente 「> 
キーを押す 


# cpstop - 

# rwrestore - r - 

Please insert bacKup floppy disk. (#1) 

Press enter key. - 


■ FireWall -1 を停止する 

■コマンド入力後、 < Ente 「> キーを押す 

-バックアップディスクをセツトして、 
< Ente 「> キーを押す 


There are 4 floppy disks for restore. 
restore fw config files ... (1/4) 

• Please insert next floppy disk, and press enter key. 
restore fw config riles ... (2/4) 

< 略 > 

The 'Import' operation will stop all Check Point services (cpstop). 

Do you want to continue? (y/n) [n] ? y -く y > を入力し、く Enter 〉 キーを押す 

< 略 > 

- The license upgrade process may take some time. 

Do you want to continue? (y/n) [y] ? n -く n > を入力し、く Enter 〉 キーを押す 

upgrade_import finished successfully! 

Do you wish to start Check Point services ('cpstart')? (y/n) [y] ? y 

< 略 > 

< y > を入力し、 < Ente 「> 

restore completed. キーを押す 

After turned off FDD access light, Press enter key. FireWall -1 を起重力する 


フロッピーディスクドライブのアクセスランプが消えたら 
< Ente 「> キーを押し、その後フ□ツピーデイスウを取り出す 


•:一 IS 

SmartDashboard が接続できない場合は、以下のコマンドを実行した後に再接続してくださし、。 
# fw unloadlocal 

くバックアップのリストアをしない場合> 

SmartDashboard を使用してポリシーを作成する。 

21 . SmartDashboard でポリシーをインストールする 0 


DVD - ROM ドライブに Check Point NGX CD-ROM ( CD 1) をセツトした状態のまま 
Firewall 本体を起動しないように注意してください。 
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ESMPRO/ServerAgent のセツトアツ 



「システムの再インストール」で ESMPR 〇 /ServerAgent は自動的にインストールされます 
が、固有の設定がされていません。以下のオンラインドキュメントを参照し、セットアップ 
をしてください。 

添付のノ ツクアツプ CD-ROM ゾ nec/doc/esmpro.sa/ 


響 一 

rm 


ESMPR 〇 /ServerAgent の他にも「エクスプレス通報サービス」 （5 章参照）も自動的にインス 
卜ールされます。 

シリアル接続の管理クライアントから設定作業をする場合は、管理者として□グインした 
後、設定作業を開始する前に環境変数 「 LANG 」 を 「 C 」 に変更してください。デフォルトの 
シェル環境の場合は以下のコマンドを実行することで変更できます。 

#export LANG=C 


システム情報のバックアッ 



システムの再セットアップが終了した後、添付の 「EXPRESSBUILDER (SE) CD-R 〇 M」 にあ 
るオフライン保守ユーティリティを使って、システム情報をバックアップすることをお勧め 
します。 

前述の「システム情報のバックアップ」、および5章の「保守 • 管理ソフトウェア」を参照して 
ください。 
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